1. Spring Security là gì?
Spring Security là một framework thuộc hệ sinh thái của Spring, được sử dụng để cung cấp các cơ chế bảo mật mạnh mẽ cho các ứng dụng Java và Spring. Nó hỗ trợ các chức năng như xác thực (authentication), phân quyền (authorization), và bảo mật ứng dụng web (web security).
2. Các tính năng chính của Spring Security
- Xác thực (Authentication):
- Xác minh danh tính của người dùng (user).
- Hỗ trợ nhiều phương pháp xác thực như username/password, OAuth2, JWT, SAML, LDAP, và Single Sign-On (SSO).
- Phân quyền (Authorization):
- Kiểm tra quyền hạn của người dùng để truy cập vào tài nguyên.
- Hỗ trợ kiểm tra quyền truy cập dựa trên vai trò (role-based) hoặc chi tiết (fine-grained permissions).
- Bảo vệ ứng dụng web:
- Bảo vệ chống lại các cuộc tấn công phổ biến như:
- Cross-Site Request Forgery (CSRF).
- Cross-Site Scripting (XSS).
- Clickjacking.
- Mã hóa các kết nối qua HTTPS.
- Bảo vệ chống lại các cuộc tấn công phổ biến như:
- Tích hợp dễ dàng với các framework khác:
- Spring Security tích hợp chặt chẽ với Spring Boot, giúp cấu hình tự động.
- Hỗ trợ các luồng OAuth2 và OpenID Connect.
- Tùy chỉnh cao:
- Cung cấp API để mở rộng và tùy chỉnh các quy trình bảo mật.
- Có thể cấu hình thông qua XML, Java Config, hoặc sử dụng annotations.
3. Luồng hoạt động cơ bản của Spring Security
- Yêu cầu (Request) từ người dùng:
- Người dùng gửi request (HTTP request) đến máy chủ.
- Xử lý yêu cầu bởi Spring Security Filter Chain:
- Request đi qua Spring Security Filter Chain, nơi các bộ lọc (filters) thực hiện các tác vụ như xác thực, kiểm tra quyền truy cập.
- Xác thực người dùng:
- Hệ thống kiểm tra thông tin xác thực của người dùng (thông thường qua cơ chế UsernamePasswordAuthenticationToken hoặc JWT).
- Phân quyền:
- Dựa trên thông tin người dùng và các quyền được gán, hệ thống xác định xem người dùng có được phép truy cập tài nguyên hay không.
- Trả về phản hồi:
- Nếu request hợp lệ, tài nguyên được trả về.
- Nếu không hợp lệ, lỗi bảo mật (như 401 Unauthorized hoặc 403 Forbidden) sẽ được trả về.
